新興威脅詳細資料檢視畫面
「新興威脅」動態饋給會顯示所選廣告活動或報表的詳細資料。在動態消息中選取威脅時,系統會開啟一個頁面,結合 Google Threat Intelligence 的資訊和您環境中的資料,協助您分析威脅影響和涵蓋範圍。
每個頁面都包含多個可展開的面板,顯示相關的威脅情報、偵測資料和相關聯的實體。在每個面板中,按一下區段名稱旁邊的 chevron_forward 「箭頭」,即可展開該區段並查看更多詳細資料。
「新興威脅」詳細檢視畫面包含下列面板:
相關聯的規則
「相關規則」面板會列出與所選廣告活動相關的偵測規則。規則關聯只適用於廣告活動,不適用於報表。
新興威脅會持續從 GTI 擷取情報,並與貴機構的遙測資料進行比對。這項功能會透過下列程序,自動探索、擴充及關聯廣告活動:
- 匯入廣告活動情報:系統會自動從 GTI 收集廣告活動情報,包括全球研究、Mandiant 事件應變行動和 Mandiant Managed Defense 遙測資料。
- 產生模擬記錄事件:Gemini 會在背景產生高擬真度的匿名模擬記錄事件,反映真實的攻擊者行為。
- 自動醒目顯示偵測涵蓋範圍:系統會針對 Google Cloud 威脅情報 (GCTI) 執行模擬記錄事件,並根據精選的偵測規則和涵蓋範圍報告,顯示 Google SecOps 的偵測結果,以及偵測範圍的缺漏之處。
- 加快規則建立速度:找出缺口後,Gemini 會根據測試模式自動草擬新的偵測規則,並提供規則邏輯和預期行為的摘要。最後一個步驟需要人工審查並核准這些規則,才能將規則移至正式環境。
下表說明「相關聯的規則」面板中的欄位:
| 資料欄名稱 | 說明 |
|---|---|
| 規則名稱 | 顯示規則標題和相關聯的規則集或偵測類別。 按一下規則名稱會開啟 Detections 頁面,顯示這項規則產生的偵測結果。 |
| 標記 | 列出套用至偵測規則的規則標記或標籤。 |
| 過去 4 週的活動 | 顯示過去四週的規則快訊或偵測活動。 |
| 上次偵測時間 | 顯示規則產生的最新快訊時間戳記。 |
| 嚴重性 | 指出為指定規則產生的偵測結果設定的嚴重性等級。 |
| 快訊 | 指定是否啟用或停用規則的警報。 |
| 即時狀態 | 顯示規則在您環境中的狀態 (有效或無效)。 |
如果廣告活動沒有相關聯的規則,面板會顯示「沒有規則」文字。
已停用的規則
「已停用的規則」面板會列出與廣告活動相關的偵測規則 (如有),這些規則目前未啟用。這有助於找出潛在的威脅涵蓋範圍缺口。廣告活動的規則關聯性會如「相關聯的規則」一節所述。
下表說明各欄:
| 資料欄名稱 | 說明 | |
|---|---|---|
| 規則名稱 | 顯示已停用規則的名稱。 | 按一下規則名稱,開啟詳細資料檢視畫面,查看規則的邏輯、設定和相關聯規則集,與「Curated Detections」頁面上的檢視畫面類似。 |
| 類別 | 顯示規則類型或類別。 | |
| 已設定規則 | 識別規則來源,例如 Mandiant Frontline Threats、Mandiant Hunt Rules 或 Mandiant Intel Emerging Threats。 | |
| 精確度 | 指出規則精確度類型 (「廣泛」或「精確」)。 | |
| 快訊 | 顯示是否已啟用快訊功能。 | |
| 上次更新時間 | 顯示規則上次修改時間的時間戳記。 |
近期相關聯的實體
「近期相關聯的實體」面板會列出環境中與所選威脅相關聯,且可能受到影響的實體。
面板會列出符合下列條件的使用者和資產實體:
- 過去七天內出現在偵測結果中。
- 出現在與威脅相關聯的入侵指標事件中。
- 已指派風險分數。
下表說明「Recent Associated Entities」面板中的欄位:
IOC
「IOC」面板會顯示下列資料表:
IOC 比對結果
「IOC Matches」(IOC 比對結果) 表格會列出所選廣告活動環境中偵測到或比對到的 IOC。
下表說明各欄:
| 資料欄名稱 | 說明 |
|---|---|
| IOC | 顯示網域、IP 位址、雜湊或網址。 點選 IoC 會開啟 Entity context 面板,其中提供 IoC 的其他資訊,以及 IoC 在您環境中的出現位置。 |
| 類型 | 顯示 IoC 類別,例如 DOMAIN、IP、FILE (HASH_SHA256) 或 URL。 |
| GTI 分數 | 顯示 GTI 指派的威脅分數,範圍為 0 到 100。 |
| GCTI 優先順序 | 表示 GCTI 指派的相對優先順序等級。 |
| 資產 | 列出環境中與符合 IoC 的事件相關的資產。 |
| 關聯 | 顯示指標的相關 GTI 實體,例如威脅發動者或攻擊活動。 |
| 首次出現時間 | 顯示系統首次在您的環境中偵測到指標的時間。 |
| 上次出現時間 | 顯示系統在您環境中偵測到指標的最近時間。 |
與 GTI 相關聯的 IOC
GTI 相關聯的 IOC 資料表會列出 GTI 與廣告活動相關聯的其他 IOC。
下表說明各欄:
| 資料欄名稱 | 說明 |
|---|---|
| IOC | 顯示網域、IP 位址、雜湊或網址。 |
| 類型 | 顯示 IoC 類別,例如 DOMAIN、IP、FILE、HASH_SHA256 或 URL。 |
| GTI 分數 | 顯示 GTI 指派的威脅分數,範圍為 0 到 100。 |
| 相關聯的發動者 | 列出與入侵指標相關的威脅發動者。
按一下執行者名稱,即可在 |
| 相關惡意軟體 | 列出與入侵指標相關的惡意軟體系列。
按一下惡意軟體名稱,即可在 |
| 發現 GTI | 顯示 GTI 首次記錄 IoC 的時間戳記。 |
| GTI 上次更新時間 | 顯示 GTI 最近一次更新 IoC 的時間戳記。 |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。